ku酷游官网-ku酷游网络股份有限公司

　　公开宣布将持续推进数字化转型建设，推动工作模式向数据驱动转变。同时，市场和监管也在拷问

　　《中国经营报》记者注意到，截至3月26日，央行及分支机构已公示的行政处罚中，明确涉及“数据安全管理”或“网络安全管理”违规的案例已超30起。

　　神州信息数据资产交付部总经理张琨指出：“AI时代的银行数据安全管理需要在传统数据治理的基础上，针对AI应用的特点进行创新和升级。关键是要建立‘从数据生成那一刻起就标记清楚用途、权限和生命周期’的精细化管理体系，通过技术手段和制度约束的有机结合，既确保数据安全和合规，又支持AI技术的健康发展。”

　　在“十五五”开局之年，银行业面临的安全环境更趋复杂。从被动合规到主动防御，从单点治理到体系化运营，围绕数据安全的博弈，从监管开年处罚可见一斑。

　　据前述央行公布的因数据安全、违规的处罚公告，国有大型银行部分省份分行、股份制银行及城农商行都收到罚单。

　　从部分处罚来看，瑞丰农商行被罚316.8万元，在2026年第一季度的处罚金额中较高。央行发布的行政处罚信息显示，瑞丰银行因涉及违反金融统计管理规定、账户管理规定、数据安全与管理规定，以及未按规定开展客户尽职调查和报告大额交易等多项违法违规行为。对于该罚单情况，方面对记者表示：“该处罚为早期（前两年）的处罚，目前已经整改到位。主要涉及数据应用不规范的问题，针对细节性问题，后续将结合技术升级与行业变化制定相关计划，并对安全防护系统有升级投入。”

　　此外，贵州两家银行因“违反信用信息采集、提供、查询及相关管理规定”遭到处罚，这两家银行表示暂未有可公布的整改举措。贵州省内某农商行人士告诉记者：“目前农商行在执行数据安全、网络安全等操作准则时，普遍依据省联社方面制定的规范行为进行管理，行社因违规被处罚后，未来的具体整改措施也是由省联社制定。”

　　梳理罚单中涉及的处罚缘由可知，违反网络安全管理规定、数据安全管理规定出现频率最高，其次是违反信用信息采集、提供、查询及相关管理规定，未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施违规行为也有涉及。

　　监管连开罚单的背后，是金融数据安全监管体系的快速成型。自2024年以来，国家金融监督管理总局与中国人民银行形成了“双线监管”格局。

　　公开信息显示，2024年12月，国家金融监督管理总局发布《银行保险机构数据安全管理办法》，针对银行保险机构引入了“数据安全评估”；2025年5月，中国人民银行发布《中国人民银行业务领域数据安全管理办法》，细化明确中国人民银行业务领域数据安全合规底线要求，明确“谁管业务，谁管业务数据，谁管数据安全”的原则。

　　进入2026年，政策发布节奏稳步前进。国家金融监督管理总局办公厅印发《关于开展金融机构数据安全管理能力提升专项行动的通知》，明确提出“发现一批、整改一批、通报一批、处罚一批”的总体要求。此外，国家网信办就《金融信息服务数据分类分级指南》公开征求意见，进一步细化核心数据、重要数据、敏感一般数据的分级规则。

　　业内人士认为，监管的核心导向，在于推动银行将数据安全和网络安全嵌入公司治理和日常经营管理之中，实现从阶段性、被动式合规，向长期、持续性治理的转变。

　　在监管政策的倒逼下，银行业数据安全建设的薄弱环节也愈发清晰。当前，银行在数据安全建设中存在哪些明显的薄弱环节？

　　张琨认为，第一是数据资产的全面盘点能力不足。很多银行对自身的数据家底并不完全清楚，特别是对分散在各个业务系统、测试环境、个人电脑以及历史遗留系统中的“暗数据”缺乏有效统一管理。不知道数据在哪里，自然就谈不上有效保护。第二是数据流转过程中的可见性和控制能力不足。业内经常说的一个痛点是“数据可见却不可控”，即数据在核心系统里是安全的，但一旦通过各种方式导出到Excel、测试库或者第三方系统，就进入了“监管盲区”。传统的数据防泄露（DLP）系统更多关注文件流转，但对于通过API调用、数据库查询等方式的数据访问行为，监控和控制能力相对薄弱。第三是内部人员的数据安全意识和操作规范性问题。技术手段再先进，如果人员的安全意识跟不上，仍然会产生很大的风险敞口，特别是业务部门为了提高工作效率而绕过安全流程或在数据共享协作中出现违规操作的情况时有发生。

　　张琨认为，在政策法规出台的背景下，银行数据安全建设正面临从“合规驱动”向“风险管控”转变的关键时期。但在当前监管环境下，银行的数据安全建设在具体的落地实践中仍面临多项挑战。例如，银行建立了数据分类分级体系，但在实际执行中面临“落地难”。又如，银行业务国际化提速，数据出境场景日益增多，跨境数据流动合规要求收紧，银行需要构建数据出境安全评估机制。目前，数据流动依赖API接口、数据库直连等“新型数据通道”，这也带来了新的风险敞口等问题。

　　实际上，在（AI）之类新技术的深度应用背景下，金融行业数据安全保护逻辑已发生根本性转变。

　　云计算管理与智算调度运营公司佳杰云星技术负责人告诉记者：“AI时代对银行数据安全建设最大的影响是安全策略必须伴随数据的每一次调用、每一个路径动态部署。在由‘用户—应用系统—数据库’的传统数据访问路径下，安全策略主要围绕网络边界与单一应用构建。AI时代，以AI智能体为核心的访问路径变得高度动态，用户通过调用各类工具与API，跨系统访问企业数据资源，路径自主规划、跨域流转，使传统基于边界和应用的访问控制难以奏效。同时，数据泄露风险从单一场景扩展为多路径并发。此外，为保障智能体任务完成授予宽泛权限，极易引发越权访问等风险。以上因素都在影响AI时代的数据保护策略转变。”

　　AI时代，银行的数据安全管理如何覆盖数据的全生命周期？张琨认为，银行需要构建以数据为中心的AI治理框架，从多个维度提升数据全生命周期管理能力。在采集阶段，需要建立的数据采集专项评估机制。对于AI项目的数据需求，要逐字段说明用途和必要性，坚持“目的限定+最小必要”原则。同时，要引入自动化合规检测工具，对入库数据进行隐私合规扫描，并建立数据来源的可追溯机制，确保训练数据的“清洁”与合法。在存储和使用阶段，应该广泛应用隐私增强技术。特别是差分隐私技术的应用，通过向数据添加数学噪声，使得攻击者无法从模型输出中反推具体个体的隐私信息。在共享环节，应该建立基于场景的精细化数据共享管理机制。针对的特点，明确不同场景下的数据共享范围、共享方式和安全要求。可以采用联邦学习之类的技术，在保护数据隐私的前提下实现数据价值的共享。在销毁环节，需要建立智能化的生命周期自动化运营机制。利用自动化工具对数据进行全链路标记和管理，当数据完成AI训练任务或超过合规保留期限后，系统自动触发安全销毁流程，并生成不可篡改的销毁凭证。